ストリーミング詐欺キャンペーンはAIツールとボットに依存

出典: RyanMcGuire via Pixabay

攻撃者が人工知能をどのように攻撃に利用できるかについて多くの議論がなされてきましたが、Human SecurityのSatori脅威インテリジェンスチームによる最新の調査は、悪意のある者たちが生成AIを使ってロイヤリティ対象の音楽やゴーストアーティストを大量生産し、ロイヤリティを集めて洗浄している実態を示しています。

これはストリーミング詐欺であり、悪意のある者がトラックをループ再生し続けるものの、実際に聴いている観客は存在せず、ロイヤリティを集める手法です。ストリーミング詐欺では、悪意のある者がコンテンツを作成し、いいねや再生回数、コメント、クリックなどの偽のエンゲージメントで本物らしいトラフィックを生成する必要があります。成功するためには、詐欺師は大量のコンテンツを生成し、ストリームに大量の本物らしいトラフィックを生み出さなければなりません。権利者（通常はアーティストやコンテンツ制作者）は1再生あたり0.003ドルから0.005ドル程度の支払いを受けますが、これらの微々たる支払いも、詐欺師がAIを使って何百万ものトラックを生成し、ボットネットでトラフィックを生み出すことで積み重なります。

生成AIは、詐欺師が数分で何千ものユニークなロイヤリティ対象トラックを作成することを容易にし、ストリーム詐欺を「ニッチな手口から大規模なオペレーションへと変貌させている」と、HUMAN Securityのシニア脅威インテリジェンスアナリスト兼リバースエンジニアのInna Vasilyevaは調査投稿で書いています。「昨年は、何十億もの音楽ストリームがボットによって消費され、何百万ドルものロイヤリティが本物のアーティストから奪われました。」

詐欺師たちは、数十の偽アーティスト名義で生成されたトラックの大規模なプレイリストを作成し、それぞれのトラックは微妙に異なり、Spotify、Apple Music、YouTubeなどの主要なストリーミングプラットフォームにデジタル配信サービスを使ってアップロードしています、とVasilyevaはDark Readingのインタビューで述べています。Satoriチームは、何十万ものAI生成楽曲（歌詞付きもインストゥルメンタルも）やポッドキャストを発見しました。ポッドキャストは多くの場合、ボットの声がネット上のテキストを読み上げているものです。また、AI動画もあり、よくあるのは汎用的なストック音楽やAI生成ナレーションが使われています。

Vasilyevaは、音楽自体は味気なく反復的であり、目的は実際に良いものを作ることではなく、単にストリームを生み出すことにあると指摘しています。

「攻撃者がこの分野を標的にする機会は非常に多い」と彼女は述べています。

コンテンツが存在した後、次のステップはボットネット、偽アカウント（または正規アカウントの乗っ取り）、クリックファーム、プロキシを使って偽のトラフィックやエンゲージメントを生み出すことです。不正なストリームは、楽曲や動画の人気プレイリスト（例：「Rainy Day Lo-Fi」やワークアウトプレイリストなど）でランキングを人為的に上げるためによく使われます。詐欺師たちはリスナーファームを使ってこれらのプレイリストにトラフィックを誘導し、その結果ストリーミングプラットフォームのアルゴリズムを騙して本物のユーザーにAI生成コンテンツを推薦させます。ボットネットは住宅用プロキシ、VPN、Selenium/Puppeteerツールを使い、異なる地理的ロケーションからのストリームに見せかける不正行為を作り出します。詐欺師たちはまた、プロキシやVPNのローテーションやデジタルIDの偽装など、ボットネットワークの管理にもAIを活用しているとVasilyevaは指摘しています。

Satoriチームは、コンテンツやストリームがストリーミング詐欺に使われていることを特定するいくつかの方法を説明しています。たとえば、アーティストがそのプラットフォーム上にしか存在せず、ウェブ上での存在感がまったくない場合、ストリーミングプラットフォーム上のプロフィールページが最低限しか作られていない場合、または汎用的な「ムード音楽」を専門とする制作会社やレーベルと関連しているように見える場合などです。Vasilyevaは、Firefly EntertainmentやEpidemic Soundを調査投稿の中で例として挙げています。

さらに重要なのは、実際のストリーミングプラットフォームのデータが人工的なストリーミング活動の可能性を特定できることです。突然の説明のつかない急激なトラフィックの増加と急落が、プロモーション活動、報道、SNSトレンド、その他の現実世界の出来事と関連していない場合、それはボットによるトラフィックの良い例です。

ここで使われている手口は音楽業界だけに特有のものではないと、Human Securityの脅威インテリジェンス担当副社長Lindsay Kayeは述べています。ボットネットを使ってAI生成素材を押し出し、偽の広告トラフィックを作ったり、ユーザーが関わっているコンテンツやクリエイターが本物だと思い込ませたりする問題は、他の業界でも直面している課題です。多くの場合、ボット検出に取り組む組織は、詐欺師たちがAIや他のツールをどのように詐欺キャンペーンに活用しているかの全体像を把握できていない可能性があります。